我正在尝试为我的系统实现open id connect authentication。
我的系统概述
1 - 移动应用程序,云和服务器。
2 - 用户在移动客户端中输入凭据,客户端将必要的令牌发送到云端。
3 - Cloud将作为代理工作并将令牌发送到服务器,服务器将对用户进行身份验证。
对于这种情况,什么应该是认证的理想标记? ID令牌或访问令牌?
是否有任何规范或可靠来源提及选择正确令牌的最佳做法/标准?
我正在尝试使用ID令牌,我遇到了这个问题 - Open ID connect for native applications, i need get a valid ID token without prompting the user after the initial authorization?
答案 0 :(得分:1)
访问令牌是一个不透明的序列,允许其持有者在给定的一段时间内使用给定的权限集调用API。
ID令牌包含有关用户的简要详细信息以及有关其附加的令牌的一些元数据。
与支持openid connect的身份提供商合作的移动应用程序将使用具有“id_token”的混合流程。或者' id_token令牌'作为回应类型。
我相信在你的情况下我会问的问题是:
的Eyal